尽快更新!微软MS Office,Paint 3D修复RCE漏洞
星期四, 四月 23, 2020
在2020年4月补丁星期二之后的一周,微软又“增发”了其Office套件的安全更新,以修复几个远程代码执行漏洞。
值得注意的是,微软Windows操作系统中用于创建3D模型的免费应用程序Paint 3D也发布了安全更新,因为Paint 3D和Office“共享”了存在漏洞的Autodesk FBX库。
Autodesk是流行的AutoCAD软件的开发公司,产品被建筑师,工程师,数字媒体创作者,制造商等广泛使用,近日Autodesk一口气修复了FBX软件开发人员工具包(SDK)的六个漏洞(CVE-2020-7080至CVE-2020-7085)。
如果用户受骗打开特制的恶意FBX文件,攻击者可以创建DoS攻击条件或使应用程序在底层系统上执行任意代码。
由于Autodesk FBX库已集成到MS Office应用程序和Paint 3D应用程序中,因此用它们处理特制的3D内容可能会导致远程执行代码。
成功利用这些漏洞的攻击者可以获得与本地用户相同的用户权限。“那些权限较低的用户帐户比以管理用户权限受影响小,”微软解释。
要利用这些漏洞,攻击者必须将包含3D内容的特制文件发送给用户,并说服他们打开它。(仅通过预览窗格查看它不足以触发漏洞利用。)
由于漏洞利用需要用户交互,因此该漏洞的危险性还没有达到“critical“的级别。但不幸的是,诱骗用户打开随机文件是攻击者的“基本操作“。
该漏洞目前没有缓解或变通办法,因此强烈建议用户和管理员尽快进行系统更新,尤其是对于哪些需要经常处理FBX文件的用户。